ウイルス情報

ウイルス名 危険度

PWS-FATZ

企業ユーザ: 低
個人ユーザ: 低
種別 トロイの木馬
最小定義ファイル
(最初に検出を確認したバージョン)
7059
対応定義ファイル
(現在必要とされるバージョン)
7059 (現在7652)
対応エンジン 5.4.00.1158以降 (現在5600) 
エンジンバージョンの見分け方
別名 Trend - TSPY_ONLINEG.SM9 Fortinet - W32/Onlinegames.QAL!tr Ikarus - Trojan-PWS.Win32.OnLineGames Kaspersky - Trojan-Ransom.Win32.Cidox.aajg Avast - Win32:OnLineGames-GGZ
情報掲載日 2013/04/30
発見日(米国日付) 2013/04/28
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

概要

・PWS-FATZはトロイの木馬です。ウイルスと異なり、トロイの木馬は自己複製しません。多くの場合、ファイルが有益である、あるいはファイルを欲しいと思わせて手動で実行させることにより繁殖します。最も一般的なインストール方法は、システムやセキュリティを悪用し、疑いを持たないユーザに手動で未知のプログラムを実行させることです。電子メール、悪質な、またはハッキングされているWebサイト、IRC(インターネットリレーチャット)、ピアツーピアネットワークなどを通じて配布されます。

TOPへ戻る

ウイルスの特徴

・「PWS-FATZ」はトロイの木馬によってドロップ(作成)されるファイルです。ソースファイルはPWS-FATCという名前で検出され、人気のあるオンラインゲームサイトのログイン資格情報を盗み出すファイルをドロップします。

・「PWS-FATZ」は人気のあるオンラインゲームサイトのログイン資格情報とクッキーを盗み出し、プロキシ設定を無効にします。

・また、「PWS-FATZ」はiexplorer.exeおよびexplorer.exeに自身を挿入し、収集した情報を送信します。

・以下はPWS-FATZが乗っ取ったシステムから情報を盗み出そうとするオンラインゲームです。

  • aran.kr.gameclub.com
  • login.n[削除]n.com
  • auth.s[削除]n24.com
  • bns.p[削除]c.com
  • dk.h[削除]e.com
  • heroes.n[削除]n.com
  • r2.w[削除]n.co.kr
  • w[w]w.n[削除]n.com
  • w[w]w.ha[削除]ney.co.kr
  • w[w]w.te[削除]sh.co.kr
  • w[w]w.cult[削除]nd.co.kr
  • w[w]w.b[削除]fe.com
  • ipin.sir[削除]24.com
  • cap[削除]es.net
  • dragonnest.n[削除]n.com
  • elsword.n[削除]n.com
  • clubaudition.n[削除]n.com
  • ne[削除]ble.net
  • item[削除]ia.com
  • w[w]w.ite[削除]ay.com
  • w[w]w.p[削除]g.com
  • aion.pl[削除]nc.jp
  • pl[削除]c.co.kr
  • maplestory.n[削除]n.com
  • h[削除]me.com
  • fifaonline.p[削除]g.com
  • df.n[削除]n.com
  • n[削除]n.com/cash/page/payrequest.aspx
  • baram.n[削除]n.com
  • fifaonline3.n[削除]n.com
  • kr.b[削除]le.net
  • yulgang.m[削除]e.com
  • w[w]w.cap[削除]es.net
  • w[w]w.hap[削除]ey.co.kr...
  • id.h[削除]me.com
  • npubid.h[削除]e.com
  • mo.n[削除]ble.net
  • samwinfo.ca[削除]mes.net
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=24
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=14
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=43
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=19
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=1
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=26
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=25
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=2
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=40
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=3
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=17
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=23
  • w[w]w.p[削除]g.com/game_top.nwz?ssn=18
  • poker.h[削除]me.com/poker7.nhn
  • poker.h[削除]me.com/baduki.nhn
  • poker.h[削除]me.com/highlow2.nhn
  • poker.h[削除]me.com/hoola3.nhn
  • poker.h[削除]me.com/duelpoker.nhn
  • poker.h[削除]me.com/laspoker.nhn
  • tera.h[削除]me.com

・実行時、iexplorer.exeにファイルを挿入し、リモートポート80を介して以下のURLに接続しようとします。

  • 41.30. [削除].192
  • angel.f[削除]z.com
  • 174. [削除].102.50
  • hxxp://174. [削除].102.50/cs0719
  • hxxp://174. [削除].102.50/cs0719/
  • 50.102. [削除].174
  • static.m[削除]ase.com

・実行時、以下の場所にファイルをドロップ(作成)します。

  • %Temp%\qHiq7fu.dll [PWS-FASJという名前で検出]
  • %Temp%\VaIDqre2.dll [PWS-FASJという名前で検出]
  • %Temp%\yJB3kYUHuy
  • %WINDIR%\system32\DruYwueJ3
  • %WINDIR%\system32\kakutk.dll [PWS-FATZという名前で検出]
  • %WINDIR%\system32\wshtcptk.dll

・以下はシステムに追加されるレジストリキーです。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\InprocServer32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\ProgID
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\Programmable
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\VersionIndependentProgID
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\ProxyStubClsid
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\ProxyStubClsid32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\TypeLib
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0\0
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0\0\win32
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0\FLAGS
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0\HELPDIR
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj\CurVer
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1\CLSID
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{GUID}

・以下はシステムに追加されるレジストリキー値です。

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings\ProxyEnable:0

・上記のレジストリキー値により、プロキシ設定を無効にします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\VersionIndependentProgID\
  • : "IEHlprObj.IEHlprObj"
  • : "IEHlprObj.IEHlprObj.1"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\InprocServer32\
  • : "%WINDIR%\system32\kakutk.dll"
  • ThreadingModel: "Apartment"

・上記のレジストリ値により、システムが起動するたびにPWS-FATZが実行されるようにします。

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{GUID}\: "IEHlprObj Class"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\TypeLib\
  • : "{GUID}"
  • Version: "1.0"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\ProxyStubClsid32\: "{GUID}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\ProxyStubClsid\: "{GUID}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{GUID}\: "IIEHlprObj"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0\0\win32\: "%WINDIR%\system32\kakutk.dll"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0\HELPDIR\: "%WINDIR%\system32\"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0\FLAGS\: "0"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{GUID}\1.0\: "IEHelper 1.0 Type Library"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj\CurVer\
  • : "IEHlprObj.IEHlprObj.1"
  • : "IEHlprObj Class"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1\CLSID\: "{GUID}"
  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj.1\: "IEHlprObj Class"

・上記のレジストリ項目により、自身をBrowser Helper Objectとして登録し、Internet Explorerが使用されるたびに自動的に実行されるようにします。

TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

・上記の活動が見られます。

TOPへ戻る

感染方法

・トロイの木馬は自己複製しません。多くの場合、その実行可能ファイルに何らかの利益があると思わせて手動で実行させることにより繁殖します。IRC、ピアツーピアネットワーク、ニュースグループへの投稿、電子メールなどを通じて配布されます。

TOPへ戻る

駆除方法

■現行のエンジンとウイルス定義ファイルを使用して、検出・駆除して下さい。

システムスタートアップをフックするためのシステムレジストリ、INIファイルの修正は、推奨エンジン/ウイルス定義ファイル以上を使用した場合は正常に駆除されます。

TOPへ戻る